首页 > 其他分享 >基础概念-认证授权会话

基础概念-认证授权会话

时间:2024-06-09 18:28:37浏览次数:19  
标签:用户 认证 会话 授权 权限 id 资源

1.1.  什么是认证

进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信 息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。

1.2  什么是会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session 方式、基于 token 方式等。 基于session的认证方式如下图: 它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在 session( 当前会话 ) 中,发给客户端的 sesssion_id存放到 cookie 中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session 过期销毁时 , 客户端的 session_id 也就无效了。

基于token方式如下图: 它的交互流程是,用户认证成功后,服务端生成一个 token 发给客户端,客户端可以放到 cookie 或 localStorage等存储中,每次请求时带上token ,服务端收到 token 通过验证后即可确认用户身份。

总结: 

        基于session 的认证方式由 Servlet 规范定制,服务端要存储 session 信息需要占用内存资源,客户端需要支持 cookie;         基于token 的方式则一般不需要服务端存储 token ,并且不限制客户端的存储方式。如今移动互联网时代更多类型的客户端需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token 的方式更适合。  

1.3  授权

1.3.1  什么是授权

还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。 为什么要授权? 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同的资源。 授权 :授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

1.3.2授权的数据模型

如何进行授权即如何对用户访问资源进行控制,首先需要学习授权相关的数据模型。 授权可简单理解为Who对What(which)进行How 操作,包括如下: Who ,即主体( Subject ),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What ,即资源 (Resource ),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按 钮、代码方法都属于系统功能资源,对于web 系统每个功能资源通常对应一个 URL ;系统商品信息、系统订单信息都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号为001的商品为资源实例。 How ,权限 / 许可( Permission ),规定了用户对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个代码方法的调用权限、编号为001 的用户的修改权限等,通过权限可知用户对哪些资源都有哪些操作许可。 主体、资源、权限关系如下图: 主体、资源、权限相关的数据模型如下: 主体(用户 id 、账号、密码、 ... ) 资源(资源 id 、资源名称、访问地址、 ... ) 权限(权限 id 、权限标识、权限名称、资源 id 、 ... ) 角色(角色 id 、角色名称、 ... ) 角色和权限关系(角色 id 、权限 id 、 ... ) 主体(用户)和角色关系(用户 id 、角色 id 、 ... ) 主体(用户)、资源、权限关系如下图: 通常企业开发中将资源和权限表合并为一张权限表,如下: 资源(资源 id 、资源名称、访问地址、 ... ) 权限(权限 id 、权限标识、权限名称、资源 id 、 ... ) 合并为: 权限(权限 id 、权限标识、权限名称、资源名称、资源访问地址、 ... ) 修改后数据模型之间的关系如下图:

1.4RBAC

如何实现授权?业界通常基于 RBAC 实现授权。

1.4.1基于角色的访问控制

RBAC 基于角色的访问控制( Role-BasedAccessControl )是按角色进行授权,比如:主体的角色为总经理可以查询企业运营报表,查询员工工资信息等,访问控制流程如下:

根据上图中的判断逻辑,授权代码可表示如下:

if(主体.hasRole("总经理角色id")){
    查询工资
}
 
如果上图中查询工资所需要的角色变化为总经理和部门经理,此时就需要修改判断逻辑为 “ 判断用户的角色是否是总经理或部门经理” ,修改代码如下:
if(主体.hasRole("总经理角色id") ||  主体.hasRole("部门经理角色id")){
    查询工资
}
 

根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。

1.4.2基于资源的访问控制

RBAC 基于资源的访问控制( Resource-BasedAccessControl )是按资源(或权限)进行授权,比如:用户必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下:

根据上图中的判断,授权代码可以表示为:

if(主体.hasPermission("查询工资权限标识")){
    查询工资
}
优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强。

标签:用户,认证,会话,授权,权限,id,资源
From: https://blog.csdn.net/weixin_55772633/article/details/139561519

相关文章

  • 关于继承djangon内置模型AbstractUser用户认证authenticate一直返回None
    为了想要使用django内置的auth_user表字段,但是有些字段没有,想要定制于是我们可以:首先导入:fromdjango.contrib.auth.modelsimportUser,AbstractUserfromdjango.dbimportmodels然后这么写:classUserInfo(AbstractUser):"""用户信息"""nid=m......
  • CCF-GESP 等级考试 2023年9月认证C++四级真题解析
    一、单选题(每题2分,共30分)第1题⼈们所使⽤的⼿机上安装的App通常指的是()。A.⼀款操作系统B.⼀款应⽤软件C.⼀种通话设备D.以上都不对正确答案:B.⼀款应⽤软件解析:App是"Application"的缩写,中文意思是"应用",特指安装在智能手机上的第三方应用软件。这些软件通常......
  • Harmony0S应用开发者高级认证(最新超全!!!)
    收集整理不易请留个赞再走吧qwq祝大家一次考过!!!需要Word文档的朋友可以小窗发给你考证网址 华为开发者官方网站_创新从这里开始云函数打包完成后,需要到AppGalleryConnect创建对应函数的触发器才可以在端侧中调用(错误)每一个自定义组件都有自己的生命周期(正确)基于端......
  • 抖音小红书淘宝拼多多商家订单对接ERP|获取电商平台订单信息(商家授权)
     custom-自定义API操作 支持抖音拼多多淘宝小红书公共参数名称类型必须描述keyString是调用key(必须以GET方式拼接在URL中)secretString是调用密钥api_nameString是API接口名称(包括在请求地址中)[item_search,item_get,item_search_shop等]cacheString否[yes,no]默认yes,将......
  • GitHub飙升!京东认证的“Python编程入门三剑客”究竟好在哪?
    Python凭借着简单易学、功能强大,已经跃居TIOB编程语言榜首,并且已经开始了它的霸榜之旅。如何选择一套适合自己的Python学习教程,是每个Python爱好者面临的首要问题。今天给小伙伴们带来的是图灵&京东认证的“Python编程入门三剑客”,先看《Python编程从入门到实践》,打好Python入......
  • 认证授权
    1. 授权认证目前主流使用的授权认证方案是用户-角色-权限的模式如下图所示:对于一个用户的账号,其可以满足多种角色,对于每一种角色其可以有多种权限,对于这种多对多对多的关系,我们可以建立相应的数据库进行维护如何存储用户的信息:Cookie-Session是一种存储用户信息的方法,可以......
  • webservice、WCF、webAPI、MVC权限认证
    webservice权限认证》》soapHeaderSOAPHeader案例服务引用下生成的服务方法参数中会自动加入一个soapHeader的参数,WEB服务引用则没有,我感觉采用WEB服务引用基于这种验证比较方便,因为只需将soapHeader实例赋值一次就可以多次调用不同的服务方法。Asp.NET认证在as......
  • PHP实名认证接口开发示例、银行卡实名认证API
    在互联网技术多元化、高速的发展下,催生出在挑战中不断奋勇前进的互联网企业。但不能忽视的是,互联网技术的快速迭代也会使部分企业在冲击中败下阵来,面临淘汰的危机。随着O2O、共享经济等新兴商业形式的兴起,企业对实名认证业务的数据形式和数据质量也有了更高的要求。这一现实警......
  • SQL Server如何判断哪些会话/连接是长连接?
    一般数据库中可能存在长连接或短连接会话。长连接是相对于通常的短连接而说的,也就是长时间保持客户端与服务端的连接状态。如果不从应用程序入手,如何判断SQLServer数据库中哪些会话是长连接呢?在SQLServer中有连接与会话的概念,一般而言,连接是物理概念,而会话则是逻辑上的概念。两......
  • Gitlab 配置LDAP身份认证
     vi /etc/gitlab/gitlab.rbgitlab_rails['ldap_enabled']=truegitlab_rails['ldap_servers']=YAML.load<<-'EOS'main:#'main'istheGitLab'providerID'ofthisLDAPserverlabel:'LDA......